- FutureNet製品活用ガイド
- FutureNet NXR,VXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,VXRシリーズ
NAT・フィルタ編
3. NAT/フィルタ応用設定
3-7. DMZ構築(PPPoE)設定
NXR-230/Cのように3ポート(3セグメント)以上を有する製品では、インターネットに公開するサーバ群(DMZ)と社内LANを物理的に分けて構築することが可能です。
【 構成図 】
- ethernet0をLAN側、ppp0(ethernet1)をWAN側、ethernet2をDMZ側とします。
- ethernet0インタフェースが属するネットワーク192.168.10.0/24からのパケットで、かつppp0インタフェースから出力されるパケットは送信元IPアドレスを10.10.10.1に変換します。
- ppp0インタフェースでステートフルパケットインスペクションを設定し、インターネット側からのアクセスに対しては原則破棄しますが、以下のアクセスのみ許可します。
– 宛先IPアドレス10.10.10.0/29宛のICMPパケット(ただし宛先IPアドレス10.10.10.1のICMP Echo Requestは破棄)
– 宛先IPアドレス10.10.10.2および10.10.10.3,宛先TCPポート番号80(WWWサーバ)
– 宛先IPアドレス10.10.10.4,宛先TCP,UDPポート番号53(DNSサーバ)
※DNSサーバの名前解決およびゾーン転送用に送信元10.10.10.4,宛先TCP,UDPポート番号53を許可 - ethernet2インタフェースでもステートフルパケットインスペクションを有効にし、DMZからLANへのアクセスおよびインターネットへの不要なアクセスを破棄します。
- DNS機能を有効にし、LAN内の端末からの名前解決要求(クエリ要求)をDMZ内のDNSサーバに転送します。
【 設定データ 】
設定項目 | 設定内容 | |||
---|---|---|---|---|
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.1/24 | ||
DMZ側インタフェース | ethernet2のIPアドレス | 10.10.10.1/29 | ||
SPIフィルタ | 有効 | |||
WAN側インタフェース | PPPoEクライアント(ethernet1) | ppp0 | ||
ppp0のIPアドレス | 10.10.10.1/32 | |||
SNATグループ | ppp0_snat | |||
IPアクセスグループ | in | ppp0_in | ||
forward-in | ppp0_forward-in | |||
forward-out | ppp0_forward-out | |||
SPIフィルタ | 有効 | |||
MSS自動調整 | オート | |||
ISP接続用ユーザID | test1@example.jp | |||
ISP接続用パスワード | test1pass | |||
スタティックルート | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(インタフェース) | ppp0 | |||
SNAT | ルール名 | ppp0_snat | ||
ppp0_snat | プロトコル | IP | ||
送信元IPアドレス | 192.168.10.0/24 | |||
宛先IPアドレス | any | |||
変換後送信元IPアドレス | 10.10.10.1 | |||
IPフィルタ | ルール名 | ppp0_in | ||
ppp0_in | 動作 | 破棄 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.1 | |||
プロトコル | ICMP | |||
タイプ | 8 | |||
コード | 0 | |||
ルール名 | ppp0_forward-in | |||
ppp0_forward-in | No.1 | 動作 | 許可 | |
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.2 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 80 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.3 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 80 | |||
No.3 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.4 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 53 | |||
No.4 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.4 | |||
プロトコル | UDP | |||
送信元ポート | any | |||
宛先ポート | 53 | |||
No.5 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.0/29 | |||
プロトコル | ICMP | |||
ppp0_forward-out | No.1 | 動作 | 許可 | |
送信元IPアドレス | 10.10.10.4 | |||
宛先IPアドレス | any | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 53 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.10.4 | |||
宛先IPアドレス | any | |||
プロトコル | UDP | |||
送信元ポート | any | |||
宛先ポート | 53 | |||
DNS | サービス | 有効 | ||
DNSサーバ | プライマリ | 10.10.10.4 | ||
FastFowarding | 有効 |
【 設定例 】
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#interface ethernet 0
nxr230(config-if)#ip address 192.168.10.1/24
nxr230(config-if)#exit
nxr230(config)#ip route 0.0.0.0/0 ppp 0
nxr230(config)#ip snat ppp0_snat ip 192.168.10.0/24 any 10.10.10.1
nxr230(config)#ip access-list ppp0_in deny any 10.10.10.1 icmp 8 0
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.2 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any tcp any 53
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53
nxr230(config)#ppp account username test1@example.jp password test1pass
nxr230(config)#interface ppp 0
nxr230(config-ppp)#ip address 10.10.10.1/32
nxr230(config-ppp)#ip snat-group ppp0_snat
nxr230(config-ppp)#ip access-group in ppp0_in
nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out
nxr230(config-ppp)#ip spi-filter
nxr230(config-ppp)#ip tcp adjust-mss auto
nxr230(config-ppp)#ppp username test1@example.jp
nxr230(config-ppp)#exit
nxr230(config)#interface ethernet 1
nxr230(config-if)#no ip address
nxr230(config-if)#pppoe-client ppp 0
nxr230(config-if)#exit
nxr230(config)#interface ethernet 2
nxr230(config-if)#ip address 10.10.10.1/29
nxr230(config-if)#ip spi-filter
nxr230(config-if)#exit
nxr230(config)#dns
nxr230(config-dns)#service enable
nxr230(config-dns)#address 10.10.10.4
nxr230(config-dns)#exit
nxr230(config)#fast-forwarding enable
nxr230(config)#exit
nxr230#save config
【 設定例解説 】
1. <LAN側(ethernet0)インタフェース設定>
nxr230(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
2. <スタティックルート設定>
デフォルトルートを設定します。
3. <SNAT設定>
SNAT名をppp0_snatとし、送信元IPアドレス192.168.10.0/24のパケットの送信元IPアドレスを10.10.10.1に変換します。
なお、このSNAT設定はppp0インタフェース設定で登録します。
(☞) SNATを設定しただけでは送信元IPアドレスの変換機能は動作しません。送信元IPアドレスの変換を行うインタフェースでの登録が必要になります。
4. < IPアクセスリスト設定>
IPアクセスリスト名をppp0_ inとし、宛先IPアドレス10.10.10.1,ICMPタイプ8コード0(ICMP EchoRequest)のパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53
nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp
IPアクセスリスト名をppp0_forward-inとし、宛先IPアドレス10.10.10.2~10.10.10.3,宛先TCPポート番号80のパケットを許可します。また、宛先IPアドレス10.10.10.4,宛先TCPポート番号53およびUDPポート番号53のパケットを許可します。また、宛先IPアドレス10.10.10.0/29のICMPパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53
IPアクセスリスト名をppp0_forward-outとし、送信元IPアドレス10.10.10.4,宛先TCPポート番号53およびUDPポート番号53のパケットを許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
5. <PPPアカウント設定>
ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。
6. <WAN側(ppp0)インタフェース設定>
nxr230(config-ppp)#ip address 10.10.10.1/32
ppp0インタフェースのIPアドレスを設定します。
nxr230(config-ppp)#ip access-group in ppp0_in
nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in
nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out
nxr230(config-ppp)#ip spi-filter
nxr230(config-ppp)#ip tcp adjust-mss auto
ステートフルパケットインスペクションを有効に設定します。また、ppp0_snatをSNATグループに、IPアクセスリストppp0_inをinフィルタ、ppp0_forward-inをforward-inフィルタ、ppp0_forward-outをforward-outフィルタにそれぞれ適用します。そして、TCP MSSの調整機能をオートに設定します。
ISP接続用ユーザIDを設定します。
7. <ethernet1インタフェース設定>
nxr230(config-if)#no ip address
nxr230(config-if)#pppoe-client ppp 0
PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。
8. <DMZ側(ethernet2)インタフェース設定>
nxr230(config-if)#ip address 10.10.10.1/29
nxr230(config-if)#ip spi-filter
ethernet2インタフェースのIPアドレスを設定します。また、ステートフルパケットインスペクションを有効に設定します。
9. <DNS設定>
nxr230(config-dns)#service enable
nxr230(config-dns)#address 10.10.10.4
DNSサービスを有効にします。また、DNS サーバアドレスとしてDMZのDNSサーバを設定します。
10. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR ,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。
【 端末の設定例 】
端末 | WWWサーバ1 | WWWサーバ2 | DNSサーバ | |
IP アドレス | 192.168.10.100 | 10.10.10.2 | 10.10.10.3 | 10.10.10.4 |
サブネットマスク | 255.255.255.0 | 255.255.255.248 | ||
デフォルトゲートウェイ | 192.168.10.1 | 10.10.10.1 | ||
DNS サーバ | 192.168.10.1 | - | - | - |
目次
更新情報
→ 一覧へ- 2024.10.01NXR,VXR
ネットイベント編
3-19. DDNSクライアントの有効/無効化設定 - 2024.10.01NXR,VXR
運用管理編
11-3. センチュリー・テクニカルサポート情報の取得と転送 - 2024.09.18NXR,VXR
REST-API編
2-18. センチュリー・テクニカルサポート情報の取得(maint/century-tech-support) - 2024.09.18NXR,VXR
REST-API編
2-17. デバッグタイマの実行(maint/debug) - 2024.09.18NXR,VXR
REST-API編
12-10. SSHクライアント設定(ssh-client)
カテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN